You are on page 1of 22

Introduccin a la Computacin Forense

4/8/2011

Computacin Forense: Herramientas para combatir la ciberdelincuencia


Ing. Daniel Torres Falkonert Email: daniel@paradoja.com

1 08/04/2011 Daniel Torres Falkonert (c) 2011

Ciencias Forenses

2 08/04/2011 Daniel Torres Falkonert (c) 2011

Daniel Torres Falkonert (c) 2011

Introduccin a la Computacin Forense

4/8/2011

Qu estudian las ciencias forenses?


Homicidios?

3 08/04/2011 Daniel Torres Falkonert (c) 2011

Criminalstica y ciencias Forenses


De Wikipedia:
La Criminalstica es una ciencia fctica multidisciplinaria que sistematiza conocimientos cientficos y que aplica fundamentalmente mtodos y tcnicas de investigacin de otras ciencias y disciplinas, en el examen de evidencia fsica, sensible y significativa relacionada con un hecho de caractersticas controvertidas y/o ilcitas, con el fin de determinar su existencia o reconstruirlo, sealar y precisar la intervencin de uno o varios sujetos en el mismo, buscando llegar a la verdad histrica de los hechos sometidos a consideracin. Dicho de otra manera, es la aplicacin de toda tcnica y conocimiento cientfico en la investigacin de hechos relacionados con el crimen o que sean de inters indagatorio policial.

4 08/04/2011 Daniel Torres Falkonert (c) 2011

Daniel Torres Falkonert (c) 2011

Introduccin a la Computacin Forense

4/8/2011

O an ms simple
es la aplicacin de la ciencia a la ley

5 08/04/2011 Daniel Torres Falkonert (c) 2011

Por lo tanto, prcticamente cualquier rea del conocimiento se puede aplicar a las ciencias forenses

6 08/04/2011 Daniel Torres Falkonert (c) 2011

Daniel Torres Falkonert (c) 2011

Introduccin a la Computacin Forense

4/8/2011

Computacin Forense
Rama del conocimiento que provee a partir de principios y tcnicas cientficas, la posibilidad de metodolgicamente identificar, recuperar, reconstruir , analizar y presentar informacin digital, de tal manera que esta pueda ser utilizada como evidencia en una disputa legal.

7 08/04/2011 Daniel Torres Falkonert (c) 2011

Para qu?
Determinar lo ocurrido
reconstruir eventos y generar (descubrir) pistas.

Determinar el alcance de un incidente Prevencin y Preparacin para el futuro Si es necesario, capturar y procesar
8 08/04/2011 Daniel Torres Falkonert (c) 2011

Daniel Torres Falkonert (c) 2011

Introduccin a la Computacin Forense

4/8/2011

Cundo?
No solo sirve para investigar hechos relacionados con los hacker

08/04/2011

Extorsiones Fraudes Amenazas Pornografa infantil Suplantaciones de identidad Piratera de software Recoleccin informacin de inteligencia Disputas civiles y comerciales Recuperacin de datos O solo para saber qu pas
9 Daniel Torres Falkonert (c) 2011

Qu?
Hardware o informacin como: 1. Contrabando (Sw. pirata) 2. Instrumento (Keylogger) 3. Evidencia (Inf. Del Computador de Ral Reyes)

10 08/04/2011 Daniel Torres Falkonert (c) 2011

Daniel Torres Falkonert (c) 2011

Introduccin a la Computacin Forense

4/8/2011

Quin?
El Investigador Forense en Informtica Formacin Ideal:
Mtodos Cientficos Ciencias del comportamiento Ciencias de la computacin e ingeniera Ciencias jurdicas o legales Criminalstica y ciencias forenses
11 08/04/2011 Daniel Torres Falkonert (c) 2011

La Evidencia Digital

12 08/04/2011 Daniel Torres Falkonert (c) 2011

Daniel Torres Falkonert (c) 2011

Introduccin a la Computacin Forense

4/8/2011

Qu es?
Es un tipo especial de evidencia fsica Es intangible

Cualquiera o toda informacin en formato digital que pueda establecer que un delito ha sido cometido o que pueda proveer una relacin entre un delito y su vctima o un delito y su autor Eoghan Casey
13 08/04/2011 Daniel Torres Falkonert (c) 2011

La Evidencia
Permite conocer el pasado (Qu, Quin, Cmo, Dnde y por qu) Confirmar o desechar hiptesis sobre un hecho en cuestin Reconstruir total o parcialmente el escenario en el que sucedi el incidente
14 08/04/2011 Daniel Torres Falkonert (c) 2011

Daniel Torres Falkonert (c) 2011

Introduccin a la Computacin Forense

4/8/2011

Principio del Intercambio de Locard


Fundamental en las ciencias forenses til al momento de reconstruir y relacionar a un sospechoso con un delito

15 08/04/2011 Daniel Torres Falkonert (c) 2011

Quin produce la evidencia?


1. Un computador (Logs) 2. Almacenada en un computador (Un documento) 3. Hbrida (una hoja de Excel con Macros)
16 08/04/2011 Daniel Torres Falkonert (c) 2011

Daniel Torres Falkonert (c) 2011

Introduccin a la Computacin Forense

4/8/2011

Caractersticas
Volatilidad! Escena del crimen distribuida Fcilmente Alterable Ilegible por humanos Duplicable Integridad Verificable Recuperable
17 08/04/2011 Daniel Torres Falkonert (c) 2011

Dnde encontrarla?
En cualquier dispositivo que tenga memoria.
Computadores Memorias USB Telfonos celulares PDA Cmaras digitales

18 08/04/2011 Daniel Torres Falkonert (c) 2011

Daniel Torres Falkonert (c) 2011

Introduccin a la Computacin Forense

4/8/2011

y la ley s valora ese tipo de pruebas?


19 08/04/2011 Daniel Torres Falkonert (c) 2011

Ley 527. ART. 10. Admisibilidad y fuerza probatoria de los mensajes de datos.
Los mensajes de datos sern admisibles como medios de prueba y su fuerza probatoria es la otorgada en las disposiciones del captulo VIII del ttulo XIII, seccin tercera, libro segundo del Cdigo de Procedimiento Civil. En toda actuacin administrativa o judicial, no se negar eficacia, validez o fuerza obligatoria y probatoria a todo tipo de informacin en forma de un mensaje de datos, por el slo hecho que se trate de un mensaje de datos o en razn de no haber sido presentado en su forma original.
20 08/04/2011 Daniel Torres Falkonert (c) 2011

Daniel Torres Falkonert (c) 2011

10

Introduccin a la Computacin Forense

4/8/2011

Ley 527. ART. 11. Criterio para valorar probatoriamente un mensaje de datos.
Para la valoracin de la fuerza probatoria de los mensajes de datos a que se refiere esta ley, se tendrn en cuenta las reglas de la sana crtica y dems criterios reconocidos legalmente para la apreciacin de las pruebas. Por consiguiente habrn de tenerse en cuenta: la confiabilidad en la forma en la que se haya generado, archivado o comunicado el mensaje, la confiabilidad en la forma en que se haya conservado la integridad de la informacin, la forma en la que se identifique a su iniciador y cualquier otro factor pertinente.
21 08/04/2011 Daniel Torres Falkonert (c) 2011

La Corte Constitucional en la Sentencia No. C-662 de Junio 8 de 2000 consider:


El proyecto de ley establece que los mensajes de datos se deben considerar como medios de prueba, equiparando

los mensajes de datos a los otros medios de prueba originalmente escritos en papel.
Al hacer referencia a la definicin de documentos del Cdigo de Procedimiento Civil, le otorga al mensaje de datos la calidad de prueba, permitiendo coordinar el sistema telemtico con el sistema manual o documentario, encontrndose en igualdad de condiciones en un litigio o discusin jurdica, teniendo en cuenta para su valoracin algunos criterios como: confiabilidad, integridad de la informacin e identificacin del autor.
22 08/04/2011 Daniel Torres Falkonert (c) 2011

Daniel Torres Falkonert (c) 2011

11

Introduccin a la Computacin Forense

4/8/2011

Ley 1273 de 2009

23 08/04/2011 Daniel Torres Falkonert (c) 2011

De todos modos todava falta


Pero la ley s valora la ED

24 08/04/2011 Daniel Torres Falkonert (c) 2011

Daniel Torres Falkonert (c) 2011

12

Introduccin a la Computacin Forense

4/8/2011

Las 3 reglas de oro de la computacin Forense segn Edwin Lugo


1. Proteja la evidencia Original 2. Proteja la evidencia Original 3. Proteja la evidencia Original

La validez de la evidencia depende de la rigurosidad de los procedimientos utilizados


25 08/04/2011 Daniel Torres Falkonert (c) 2011

Una vez reconocida, la evidencia digital debe ser preservada en su estado original. Se debe tener en mente, que la ley requiere que la evidencia sea autntica y sin alteraciones E.Casey

26 08/04/2011 Daniel Torres Falkonert (c) 2011

Daniel Torres Falkonert (c) 2011

13

Introduccin a la Computacin Forense

4/8/2011

Manejo no adecuado de la evidencia


Vulnerable a falsas acusaciones Violaciones de la privacidad Filtrado de informacin Incidentes sin resolver Contrademandas!! Prdida de tiempo y $$$ Impunidad
27 08/04/2011 Daniel Torres Falkonert (c) 2011

Ejemplo
Se encuentra una Memoria USB en un cajn de un escritorio Se Recolecta por personal del departamento de TI
Sin Autorizacin
No es claro si la bsqueda fue legal

Proceso no documentado
No es claro quien encontr el dispositivo

No se etiquet No se inicio la cadena de custodia

Continuar el proceso sera una mala idea


Alto riesgo de contrademanda
28 08/04/2011 Daniel Torres Falkonert (c) 2011

Daniel Torres Falkonert (c) 2011

14

Introduccin a la Computacin Forense

4/8/2011

En caso de duda
Pida ayuda a algn experto, pero NO improvise con los procedimientos forenses. Si quiere me llama

29 08/04/2011 Daniel Torres Falkonert (c) 2011

Aclaracin
Dependiendo de la finalidad y la importancia del caso, los procedimientos pueden flexibilizarse

30 08/04/2011 Daniel Torres Falkonert (c) 2011

Daniel Torres Falkonert (c) 2011

15

Introduccin a la Computacin Forense

4/8/2011

Y cuando ocurra un incidente


Qu se debe hacer?

31 08/04/2011 Daniel Torres Falkonert (c) 2011

Primera respuesta a incidentes


1. Guardar la Calma 2. Recuerde las 3 reglas de oro 3. Llame a un experto

32 08/04/2011 Daniel Torres Falkonert (c) 2011

Daniel Torres Falkonert (c) 2011

16

Introduccin a la Computacin Forense

4/8/2011

Pero antes de llamar al experto


Tenga la siguiente informacin a la mano

33 08/04/2011 Daniel Torres Falkonert (c) 2011

El Incidente
1. 2. 3. 4. Cmo fue detectado? Qu Informacin se requiere investigar? Se puede apagar el dispositivo? Se requiere recuperar el disco daado lgicamente o fsicamente? 5. Lista de palabras clave que permitan realizar bsquedas 6. En qu horario debe hacerse la investigacin?
34 08/04/2011 Daniel Torres Falkonert (c) 2011

Daniel Torres Falkonert (c) 2011

17

Introduccin a la Computacin Forense

4/8/2011

El Equipo de Cmputo o dispositivo:


1. Laptop, Desktop, PDA, Celular o Memoria USB? 2. Marca 3. Modelo 4. Capacidad 5. Tipo de conector disco duro

35 08/04/2011 Daniel Torres Falkonert (c) 2011

Sistema Operativo
1. 2. 3. 4. 5. 6. Nombre y Versin Sistema de Archivos Utilizado Tiene Archivos Cifrados? Cuntos Usuarios tienen acceso a el? Tiene Arreglo de Discos (RAID)? Tiene Antivirus, Firewall, Anti-spyware, etc?

36 08/04/2011 Daniel Torres Falkonert (c) 2011

Daniel Torres Falkonert (c) 2011

18

Introduccin a la Computacin Forense

4/8/2011

Y si lo considera necesario

http://www.delitosinformaticos.gov.co

37 08/04/2011 Daniel Torres Falkonert (c) 2011

Cmo se hace?
El proceso forense en informtica

38 08/04/2011 Daniel Torres Falkonert (c) 2011

Daniel Torres Falkonert (c) 2011

19

Introduccin a la Computacin Forense

4/8/2011

Qu se debe tener en cuenta?

39 08/04/2011 Daniel Torres Falkonert (c) 2011

Procedimientos estndar de Operacin


Serie de pasos que deben ser seguidos cada vez que se requiera recolectar y/o examinar un computador o componente de este Aseguran que la evidencia fue recolectada, preservada y analizada de una manera consistente y minuciosa Afrontar crisis en todos los niveles. Proteger la continuidad del negocio
40 08/04/2011 Daniel Torres Falkonert (c) 2011

Daniel Torres Falkonert (c) 2011

20

Introduccin a la Computacin Forense

4/8/2011

Principios del manejo de la evidencia


Principio 1: Ninguna medida tomada por la polica o sus agentes deber alterar datos almacenados en un computador o cualquier otro medio que pueda ser eventualmente confiado ante una corte. Principio 2: Bajo circunstancias excepcionales, en donde se considere necesario acceder a los datos originales en un computador, la persona encargada de realizar dicha accin, deber ser competente para hacerlo, adicionalmente debe dar evidencia de sus acciones, documentando y explicando la relevancia y las implicaciones de stas.
41 08/04/2011 Daniel Torres Falkonert (c) 2011

Principios del manejo de la evidencia


Principio 3: Se deber crear y preservar un registro de secuencia de eventos u otro tipo de registro de todos los procesos aplicados a la evidencia digital. Una tercera parte independiente deber estar en condiciones de examinar esos procesos y lograr el mismo resultado. Principio 4: El oficial a cargo del caso es responsable de asegurarse que la ley y estos principios sean cumplidos. Esto con respecto a la posesin de la informacin contenida en el computador, y el acceso a la misma. Se deber satisfacer que cualquiera que acceda al computador, o cualquier uso que se haga sobre ste de un dispositivo de copiado, cumpla con estas leyes y principios.
42 08/04/2011 Daniel Torres Falkonert (c) 2011

Daniel Torres Falkonert (c) 2011

21

Introduccin a la Computacin Forense

4/8/2011

Preguntas

08/04/2011 Daniel Torres Falkonert (c) 2011

43

Daniel Torres Falkonert (c) 2011

22